全部产品
Search

搜索本产品

    ApsaraVideo VOD:Buat dan berikan izin kepada pengguna RAM

    文档中心

    ApsaraVideo VOD:Buat dan berikan izin kepada pengguna RAM

    更新时间:Feb 10, 2026

    Untuk mengamankan Akun Alibaba Cloud Anda, kami menyarankan agar Anda menerapkan prinsip hak istimewa minimal dengan membuat pengguna RAM terpisah untuk karyawan, sistem, dan aplikasi. Berikan izin hanya sebatas yang diperlukan oleh pengguna tersebut untuk menjalankan tugasnya. Pembuatan pengguna RAM tidak dikenai biaya; Akun Alibaba Cloud Anda akan ditagih atas sumber daya cloud yang digunakan oleh pengguna RAM tersebut. Topik ini menjelaskan cara membuat pengguna RAM melalui Konsol RAM maupun pemanggilan operasi API.

    Prasyarat

    Akun Alibaba Cloud telah dibuat dan verifikasi identitas telah lengkap. Untuk membuat Akun Alibaba Cloud, kunjungi situs resmi Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat Akun Alibaba Cloud.

    Buat pengguna RAM

    Catatan

    • Pada Langkah 4, atur Logon Name menjadi vod. Topik ini menggunakan vod sebagai contoh nama logon.

    • Pada Langkah 5, pilih OpenAPI Access untuk Access Mode.

    Prosedur

    Konsol

    1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda atau sebagai administrator RAM (misalnya dengan kebijakan AliyunRAMFullAccess).

    2. Di panel navigasi kiri, pilih Identity > Users.

    3. Pada halaman Users, klik Create User.

    4. Pada bagian User Account Information di halaman Create User, konfigurasikan informasi dasar pengguna.

      • Logon Name (required): Nama logon dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Panjangnya maksimal 64 karakter.

      • Display Name (optional): Nama tampilan dapat mencapai panjang maksimal 128 karakter.

      • Tag (optional): Klik ikon edit dan masukkan kunci tag serta nilai tag. Tag membantu Anda mengategorikan dan mengelola pengguna RAM.

      Catatan

      Klik Add User untuk membuat beberapa pengguna RAM sekaligus.

    5. Pada bagian Access Mode, pilih mode akses sesuai jenis pengguna.

      Penting

      • Sebagai praktik keamanan terbaik, kami menyarankan agar Anda hanya memilih satu mode akses per pengguna. Hal ini menciptakan pemisahan yang jelas antara pengguna manusia yang memerlukan akses konsol dan aplikasi yang memerlukan akses programatik.

      • Pasangan Kunci Akses (AccessKey pair) adalah kredensial jangka panjang untuk akses programatik. Jika pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda berisiko. Kami menyarankan agar Anda menggunakan token Layanan Keamanan (STS) sebagai kredensial sementara untuk mengurangi risiko kebocoran kredensial. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API.

      Console access

      Untuk pengguna manusia, seperti karyawan, pilih Console Access.

      • Set Logon Password: Pilih salah satu opsi kata sandi berikut:

      • Password Reset: Menentukan apakah pengguna RAM harus mengatur ulang kata sandi saat logon berikutnya.

      • Enable MFA: Secara default, autentikasi multi-faktor (MFA) wajib digunakan saat logon. Untuk mengubah pengaturan ini, lihat Kelola pengaturan keamanan pengguna RAM. Pengguna RAM harus mengikat perangkat MFA pada logon pertama mereka. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.

      Programmatic access

      Untuk aplikasi atau sistem, pilih Using permanent AccessKey to access.

      Setelah Anda mengaktifkan opsi ini, sistem secara otomatis membuat ID AccessKey dan Rahasia AccessKey untuk pengguna RAM tersebut.

      Penting

      Rahasia AccessKey hanya ditampilkan sekali saat pembuatan dan tidak dapat diambil kembali nanti. Ini adalah satu-satunya kesempatan Anda untuk melihat dan menyimpan rahasia tersebut. Anda harus menyalin dan menyimpan rahasia tersebut ke lokasi yang aman segera atau klik Download CSV File untuk mengunduh file tersebut. Jika pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda akan terganggu. Untuk informasi lebih lanjut, lihat Buat pasangan AccessKey.

    API

    Buat pengguna RAM untuk akses konsol

    1. Panggil GetDefaultDomain untuk mendapatkan akhiran logon default akun Anda. Formatnya adalah <AccountAlias>.onaliyun.com.

    2. Panggil CreateUser untuk membuat pengguna RAM. Parameter yang diperlukan adalah sebagai berikut:

      1. UserPrincipalName: Nama logon pengguna RAM. Formatnya adalah <username>@<AccountAlias>.onaliyun.com. <username> adalah nama pengguna RAM, dan <AccountAlias>.onaliyun.com adalah akhiran logon default.

      2. DisplayName: Nama tampilan pengguna RAM. Nilainya dapat berbeda dari <username>.

    3. Panggil CreateLoginProfile untuk membuat profil login bagi pengguna, yang mengaktifkan akses konsol. Pengaturan yang disarankan untuk beberapa parameter adalah sebagai berikut:

      1. UserPrincipalName: Nama logon pengguna RAM yang telah Anda buat pada langkah sebelumnya.

      2. Password: Tetapkan kata sandi yang memenuhi persyaratan kompleksitas kata sandi akun Anda. Anda dapat memanggil GetPasswordPolicy untuk menanyakan kebijakan kata sandi pengguna RAM.

      3. MFABindRequired: Kami menyarankan agar Anda mewajibkan MFA untuk pengguna RAM. Untuk melakukannya, atur parameter ini ke true.

      4. Status: Menentukan apakah logon berbasis kata sandi ke konsol diaktifkan. Gunakan nilai default Active.

    Buat pengguna RAM untuk akses programatik

    1. Panggil GetDefaultDomain untuk mendapatkan akhiran logon default akun Anda dalam format <AccountAlias>.onaliyun.com.

    2. Panggil CreateUser untuk membuat pengguna RAM. Parameter yang diperlukan adalah sebagai berikut:

      1. UserPrincipalName: Nama logon pengguna RAM. Formatnya adalah <username>@<AccountAlias>.onaliyun.com. <username> adalah nama pengguna RAM, dan <AccountAlias>.onaliyun.com adalah akhiran logon default.

      2. DisplayName: Nama tampilan pengguna RAM. Nilainya dapat berbeda dari <username>.

    3. Panggil CreateAccessKey untuk membuat pasangan AccessKey. Anda hanya perlu menentukan UserPrincipalName untuk pengguna RAM yang telah Anda buat pada langkah sebelumnya.

      Penting

      Operasi API CreateAccessKey mengembalikan ID AccessKey dan Rahasia AccessKey. Ini adalah satu-satunya kesempatan Anda untuk melihat dan menyimpan rahasia tersebut. Anda harus segera menyalin dan menyimpannya di lokasi yang aman. Jika pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda akan terganggu. Untuk informasi lebih lanjut, lihat Buat AccessKey.

    Penting

    Setelah Anda mengklik OK, sistem akan menghasilkan kata sandi logon dan pasangan AccessKey (ID AccessKey dan Rahasia AccessKey) untuk pengguna RAM tersebut. Simpan kata sandi logon dan pasangan AccessKey di lokasi yang aman. Anda tidak dapat mengambilnya kembali nanti.

    Berikan izin kepada pengguna RAM

    1. Di Konsol RAM, buka halaman Users. Temukan pengguna vod yang telah Anda buat dan klik Add Permissions di kolom Actions.

    2. Di panel Add Permissions, berikan izin kepada pengguna RAM.

      Catatan

      Kami menyarankan agar Anda menyambungkan kebijakan sistem AliyunVODFullAccess ke pengguna vod. Kebijakan ini memberikan izin penuh kepada pengguna untuk mengelola semua sumber daya ApsaraVideo VOD. Untuk menemukan kebijakan tersebut, masukkan AliyunVODFullAccess di kotak pencarian. Untuk informasi lebih lanjut mengenai definisi dan izin kebijakan sistem untuk ApsaraVideo VOD, lihat Kebijakan otorisasi sistem.

      image

      • Pilih Resource Scope:

        • Account-level: Izin berlaku untuk semua sumber daya yang dimiliki oleh Akun Alibaba Cloud saat ini.

        • Resource group-level: Izin hanya berlaku untuk kelompok sumber daya tertentu. Jika Anda memberikan izin di tingkat kelompok sumber daya, pengguna RAM harus beralih ke kelompok sumber daya tersebut di bilah navigasi atas setelah masuk ke konsol. Jika tidak, pengguna tidak dapat mengakses atau mengelola sumber daya dalam kelompok tersebut.

          Catatan

          1. Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kebijakan ini biasanya memberikan kontrol penuh atas semua sumber daya cloud atau izin manajemen penuh untuk RAM. Berikan izin ini dengan hati-hati.

          2. Untuk contoh cara memberikan otorisasi kepada pengguna RAM berdasarkan kelompok sumber daya, lihat Batasi pengguna RAM agar hanya dapat mengelola instance ECS tertentu menggunakan kelompok sumber daya.

      • Pilih Authorized Entity:

        Entitas yang diberi otorisasi adalah pengguna RAM yang menerima izin tersebut. Jika Anda melakukan operasi ini di halaman Users, sistem secara otomatis memilih pengguna RAM saat ini. Jika Anda melakukan operasi ini di halaman Authorization, Anda harus memilih satu atau beberapa pengguna RAM secara manual.

      • Pilih Permission Policy:

        • System policy: Cari dan pilih kebijakan sistem. Tips pencarian: Gunakan kotak pencarian untuk menemukan kebijakan dengan cepat. Anda dapat mencari berdasarkan nama produk (seperti ECS atau OSS), tingkat izin (seperti ReadOnly atau FullAccess), atau nama lengkap kebijakan.

        • Custom policy: Anda harus membuat kebijakan kustom terlebih dahulu. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

      • Klik Confirm Authorization.

    3. Tinjau hasil otorisasi dan klik Close.

    Langkah berikutnya

    Untuk memberikan izin logon konsol kepada pengguna RAM di lain waktu, lihat Kelola pengaturan logon pengguna RAM.